CN114970694A - 一种网络安全态势评估方法及其模型训练方法 - Google Patents
一种网络安全态势评估方法及其模型训练方法 Download PDFInfo
- Publication number
- CN114970694A CN114970694A CN202210516729.9A CN202210516729A CN114970694A CN 114970694 A CN114970694 A CN 114970694A CN 202210516729 A CN202210516729 A CN 202210516729A CN 114970694 A CN114970694 A CN 114970694A
- Authority
- CN
- China
- Prior art keywords
- log information
- sample
- network security
- feature extraction
- branch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computing Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Molecular Biology (AREA)
- Evolutionary Biology (AREA)
- Computer Security & Cryptography (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种网络安全态势评估方法及其模型训练方法,包括:获取日志信息;对日志信息进行预处理,得到目标日志信息;采用网络安全数据特征提取模型对目标日志信息进行特征提取;网络安全数据特征提取模型包括若干特征提取单元,对输入的目标日志信息进行特征提取;特征提取单元包括选择性卷积结构单元;flatten层将网络安全数据特征提取模型提取的特征转换为一维特征向量;支持向量机分类器对一维特征向量进行分类,得到日志信息对应的网络安全状态。本发明在网络安全态势评估模型中加入选择性卷积结构单元,使用支持向量机分类器对目标日志信息进行分类,有效减少了模型中的参数,提高了网络安全态势评估模型的准确率和鲁棒性。
Description
技术领域
本发明涉及深度学习和网络安全态势感知技术领域,特别是涉及一种基于选择性卷积结构单元和支持向量机的网络安全态势评估方法及其模型训练方法。
背景技术
随着网络技术的快速发展和网络应用的快速推广,网络攻击也逐渐向着组织性、计划性和复杂性方向发展,传统的防火墙、漏洞扫描和入侵检测技术等单一被动防御措施已经不能满足网络安全防控要求。网络安全态势感知将被动防御化为主动防御,为网络安全问题提供了有效的解决思路。而网络安全态势评估则可以通过网络设备产生的网络安全数据信息进行汇总、过滤、关联分析,并通过搭建合适的模型对整体网络进行评估,以便于网络管理员掌握当前整体网络状况,及时采取应对策略,并为网络安全态势预测提供可靠的数据依据。
网络安全态势评估模型实质上是一个多分类模型,其常见的模型是由BP神经网络、概率神经网络等搭建,通过改进优化算法以提高模型的速率,但通过改进优化算法并不能实质性的提高网络安全态势评估的准确度,并且通过神经网络搭建的模型参数量大,训练时间长。因此,也有学者提出使用卷积神经网络搭建网络安全态势评估模型,但传统卷积核大小固定,不能很好的发现特征之间的内在联系,故不能很好的实现特征提取的效果,导致网络安全态势评估模型的准确度不能达到理想效果。并且上述模型大多由全连接层进行分类,最后模型分类的准确度会出现鲁棒性差的问题。
发明内容
本发明的目的是提供一种网络安全态势评估方法及其模型训练方法,采用选择性卷积结构单元对日志信息进行特征提取,使用支持向量机做为分类器,不仅有效减少了模型的参数,减短了训练时间,还提高了网络安全态势评估模型的准确率和鲁棒性。
为实现上述目的,本发明提供了如下方案:
一种网络安全态势评估方法,该方法包括:
获取日志信息;
对所述日志信息进行预处理,得到目标日志信息;
采用网络安全数据特征提取模型对所述目标日志信息进行特征提取;所述网络安全数据特征提取模型包括若干特征提取单元,用于对输入的所述目标日志信息进行特征提取;所述特征提取单元包括依次连接的选择性卷积结构单元、池化层和批标准化层;
采用flatten层将所述网络安全数据特征提取模型提取的特征转换为一维特征向量;
采用支持向量机分类器对所述一维特征向量进行分类,得到所述日志信息对应的网络安全状态。
可选地,所述选择性卷积结构单元,包括split单元、fuse单元和select单元,用于对输入的所述目标日志信息分不同路径进行特征提取,得到各分支特征,并对各分支特征进行聚合,得到卷积特征图。
可选地,所述对输入的所述目标日志信息分不同路径进行特征提取,得到各分支特征,并对各分支特征进行聚合,得到卷积特征图,具体包括:
所述split单元对输入的所述目标日志信息基于若干卷积分解单元进行特征提取,得到各分支特征;
所述fuse单元:分别对各所述分支特征进行全局平均化,得到全局平均化特征图;采用若干全连接层对所述全局平均化后特征图进行先降维后升维的操作,得到各分支对应的权重矩阵;根据权重矩阵以及对应的所述分支特征得到各分支的加权特征图;
所述select单元将所有分支的所述加权特征图进行加法聚合,得到卷积特征图。
可选地,所述对所述日志信息进行预处理包括:
删除所述日志信息中对网络安全没有影响的数据,得到日志筛选信息;
采用one-hot编码对所述日志筛选信息中各数据进行编码;
对编码后的数据进行归一化处理,得到所述目标日志信息。
可选地,在采用网络安全数据特征提取模型对所述目标日志信息进行特征提取之前,还包括:
将所述目标日志信息转换为n×n的二维灰度图。
一种网络安全态势评估模型训练方法,该方法包括:
获取历史日志信息;
对所述历史日志信息进行预处理,得到样本日志信息;
对样本日志信息进行标记,得到所述样本日志信息的标签,所述标签表征所述样本日志信息对应的网络安全状态;
根据所述样本日志信息以及所述标签对网络安全态势评估模型进行训练,得到训练好的网络安全态势评估模型;
所述网络安全态势评估模型包括依次连接的网络安全数据特征提取模型、flatten层和支持向量机分类器;所述网络安全数据特征提取模型包括若干特征提取单元,用于对输入的所述样本日志信息进行特征提取;所述特征提取单元包括依次连接的选择性卷积结构单元、池化层和批标准化层;所述flatten层用于将所述网络安全数据特征提取模型提取的所述样本日志信息的样本特征转换为样本一维特征向量;所述支持向量机分类器用于对所述样本一维特征向量进行分类,得到所述历史日志信息对应的网络状态。
可选地,所述选择性卷积结构单元,包括split单元、fuse单元和select单元,用于对输入的所述样本日志信息分不同路径进行特征提取,得到各分支样本特征,并对各分支样本特征进行聚合,得到样本卷积特征图。
可选地,所述对输入的所述样本日志信息分不同路径进行特征提取,得到各分支样本特征,并对各分支样本特征进行聚合,得到样本卷积特征图,具体包括:
所述split单元对输入的所述样本日志信息基于若干卷积分解单元进行特征提取,得到各分支样本特征;
所述fuse单元:分别对各所述分支样本特征进行全局平均化,得到全局平均化样本特征图;采用若干全连接层对所述全局平均化样本特征图进行先降维后升维的操作,得到各分支对应的权重矩阵;根据权重矩阵以及对应的所述分支样本特征得到各分支的样本加权特征图;
所述select单元将所有分支的所述样本加权特征图进行加法聚合,得到样本卷积特征图。
可选地,所述对所述历史日志信息进行预处理包括:
删除所述历史日志信息中对网络安全没有影响的数据,得到样本日志筛选信息;
采用one-hot编码对所述样本日志筛选信息中各数据进行编码;
对编码后的数据进行归一化处理,得到所述样本日志信息。
可选地,在所述根据所述样本日志信息以及所述标签对网络安全态势评估模型进行训练之前,还包括:
将所述样本日志信息转换为n×n二维灰度图。
根据本发明提供的具体实施例,公开了以下技术效果:本发明提供的网络安全态势评估方法及其模型训练方法,包括:获取日志信息;对所述日志信息进行预处理,得到目标日志信息;采用网络安全数据特征提取模型对所述目标日志信息进行特征提取;所述网络安全数据特征提取模型包括若干特征提取单元,用于对输入的所述目标日志信息进行特征提取;所述特征提取单元包括依次连接的选择性卷积结构单元、池化层和批标准化层;采用flatten层将所述网络安全数据特征提取模型提取的特征转换为一维特征向量;采用支持向量机分类器对所述一维特征向量进行分类,得到所述日志信息对应的网络安全状态。本发明采用选择性卷积结构单元对日志信息进行特征提取,使用支持向量机分类器对目标日志信息进行分类,不仅有效减少了模型中的参数,还提高了网络安全态势评估模型的准确率和鲁棒性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的网络安全态势评估方法流程示意图;
图2为本发明实施例1提供的选择性卷积结构单元结构图;
图3为本发明实施例2提供的网络安全态势评估模型训练方法流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种网络安全态势评估方法及其模型训练方法,采用选择性卷积结构单元对日志信息进行特征提取,使用支持向量机做为分类器,不仅有效减少了模型的参数,减短了训练时间,还提高了网络安全态势评估模型的准确率和鲁棒性。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例1
本发明提供了一种网络安全态势评估方法,参见图1,该方法包括:
步骤S1:获取日志信息。
在本实施例中,通过网络安全设备获取日志信息,所述网络安全设备包括防火墙、IDS、IPS等。
步骤S2:对所述日志信息进行预处理,得到目标日志信息。
所述对所述日志信息进行预处理包括:删除所述日志信息中对网络安全没有影响的数据,得到日志筛选信息;采用one-hot编码对所述日志筛选信息中各数据进行编码;对编码后的数据进行归一化处理,得到所述目标日志信息。
在本实施例中,采用最大-最小标准化方法对编码后的数据进行归一化,其公式如下:
其中,minA与maxA分别表示编码后的数据A中的最小值与最大值。x'和x分别表示编码后的数据A归一化后和归一化前的属性值。
将所述目标日志信息转换为n×n的二维灰度图,将所述二维灰度图输入至网络安全数据特征提取模型进行特征提取。
步骤S3:采用网络安全数据特征提取模型对所述目标日志信息进行特征提取;所述网络安全数据特征提取模型包括若干特征提取单元,用于对输入的所述目标日志信息进行特征提取;所述特征提取单元包括依次连接的选择性卷积结构单元、池化层和批标准化层。
所述选择性卷积结构单元,包括split单元、fuse单元和select单元,用于对输入的所述目标日志信息分不同路径进行特征提取,得到各分支特征,并对各分支特征进行聚合,得到卷积特征图。
所述对输入的所述目标日志信息分不同路径进行特征提取,得到各分支特征,并对各分支特征进行聚合,得到卷积特征图,具体包括:
所述split单元对输入的所述目标日志信息基于若干卷积分解单元进行特征提取,得到各分支特征图。所述fuse单元:分别对各所述分支特征进行全局平均化,得到全局平均化特征图;采用若干全连接层对所述全局平均化后特征图进行先降维后升维的操作,得到各分支对应的权重矩阵;根据权重矩阵以及对应的所述分支特征图得到各分支的加权特征图。所述select单元将所有分支的所述加权特征图进行加法聚合,得到卷积特征图。
在本实施例中,所述网络安全数据特征提取模型包括两个特征提取单元,每一特征提取单元包括依次连接的选择性卷积结构单元、池化层和批标准化层。其中,所述选择性卷积结构单元的结构如图2所示。
其中,所述网络安全数据特征提取模型对所述目标日志信息进行特征提取的过程如下:
在split单元中各路径卷积核分解为n×1和1×n的卷积分解结构,以减少模型参数数量,降低时间复杂度和空间复杂度。在本实施例中,split单元生成了两条路径,分别使用了3×1,1×3和5×1,1×5两组卷积分解结构进行卷积操作,得到两个大小为m×n×n的分支特征图U1和U2,分别对分支特征图U1和U2执行全局平均池化操作,得到两个大小为m×1×1的全局平均化特征图,分别在两个分支上使用两个全连接层对全局平均化特征图执行先降维后升维的操作,得到各自分支对应的权重矩阵,其矩阵大小为m×1×1,将得到的权重矩阵分别乘到对应的分支特征图U1和U2中,得到各分支的加权特征图,将各分支的加权特征图逐像素对应相加,得到最终的卷积特征图V。
对上述得到的卷积特征图V进行平均池化操作,以减少所述网络安全数据特征提取模型中的参数数量。对池化后的特征图进行批标准化操作,以防止所述网络安全数据特征提取模型过拟合。至此,经所述网络安全数据特征提取模型可得到所述目标日志信息的特征。
步骤S4:采用flatten层将所述网络安全数据特征提取模型提取的特征转换为一维特征向量。
步骤S5:采用支持向量机分类器对所述一维特征向量进行分类,得到所述日志信息对应的网络安全状态。
实施例2
本发明提供了一种网络安全态势评估模型训练方法,参见图3,该方法包括:
步骤T1:获取历史日志信息。
在本实施例中,使用KDD CUP99数据集对网络安全态势评估模型进行训练。
步骤T2:对所述历史日志信息进行预处理,得到样本日志信息。
在本实施例中,所述对所述历史日志信息进行预处理包括:
删除KDD CUP99数据集中对网络安全没有影响的数据,并将KDD CUP99数据集非数值型的数据数值化(例如表1所示,将tcp等非数值型的数据进行赋值),得到样本日志筛选信息;采用one-hot编码对所述样本日志筛选信息中各数据进行编码;对编码后的数据进行归一化处理,得到所述样本日志信息。将KDD CUP99数据集按一定比例划分为训练集和测试集。
表1
protocol_type | 数据标识 |
tcp | 1 |
udp | 2 |
icmp | 3 |
在本实施例中,采用最大-最小标准化方法对编码后的数据进行归一化,其公式如下:
其中,minB与maxB分别表示编码后的数据B中的最小值与最大值。y'和y分别表示编码后的数据B归一化后和归一化前的属性值。
在所述根据所述样本日志信息以及所述标签对网络安全态势评估模型进行训练之前,还包括:
步骤T3:对样本日志信息进行标记,得到所述样本日志信息的标签,所述标签表征所述样本日志信息对应的网络安全状态。
在本实施例中,KDD CUP99数据集共41个特征,1个标签,其特征可分为以下四种,具体地:
(1)TCP连接的基本特征:duration、protocol_type、service、flag、src_bytes、dst_bytes、land、wrong_fragment、urgent。
(2)TCP连接的内容特征:hot、num_failed_logins、logged_in、num_compromised、root_shell、su_attempted、num_root、num_file_creations、num_shells、num_access_files、num_outbound_cmds、is_hot_login、is_guest_login。
(3)基于时间的网络流量统计特征:count、srv_count、serror_rate、rerror_rate、same_srv_rate、diff_srv_rate、srv_serror_rate、srv_rerror_rate、srv_diff_host_rate。
(4)基于主机的网络流量统计特征:dst_host_count、dst_host_srv_count、dst_host_same_srv_rate、dst_host_diff_srv_rate、dst_host_same_src_port_rate、dst_host_srv_diff_host_rate、dst_host_serror_rate、dst_host_srv_serror_rate、dst_host_rerror_rate、dst_host_srv_rerror_rate。
标签包括39种网络攻击,对上述特征标记,其对应5种网络安全状态,将这5类网络安全状态数值化,如表2所示。
表2
步骤T4:根据所述样本日志信息以及所述标签对网络安全态势评估模型进行训练,得到训练好的网络安全态势评估模型。
所述网络安全态势评估模型包括依次连接的网络安全数据特征提取模型、flatten层和支持向量机分类器;所述网络安全数据特征提取模型包括若干特征提取单元,用于对输入的所述样本日志信息进行特征提取;所述特征提取单元包括依次连接的选择性卷积结构单元、池化层和批标准化层;所述flatten层用于将所述网络安全数据特征提取模型提取的所述样本日志信息的样本特征转换为样本一维特征向量;所述支持向量机分类器用于对所述样本一维特征向量进行分类,得到所述历史日志信息对应的网络安全状态。
所述选择性卷积结构单元,包括split单元、fuse单元和select单元,用于对输入的所述样本日志信息分不同路径进行特征提取,得到各分支样本特征,并对各分支样本特征进行聚合,得到样本卷积特征图。
所述对输入的所述样本日志信息分不同路径进行特征提取,得到各分支样本特征,并对各分支样本特征进行聚合,得到样本卷积特征图,具体包括:
所述split单元对输入的所述样本日志信息基于若干卷积分解单元进行特征提取,得到各分支样本特征;
所述fuse单元:分别对各所述分支样本特征进行全局平均化,得到全局平均化样本特征图;采用若干全连接层对所述全局平均化样本特征图进行先降维后升维的操作,得到各分支对应的权重矩阵;根据权重矩阵以及对应的所述分支样本特征得到各分支的样本加权特征图;
所述select单元将所有分支的所述样本加权特征图进行加法聚合,得到样本卷积特征图。
在本实施例中,将训练集中所述样本日志信息转换为n×n的二维灰度图。
然后将二维灰度图输入至所述网络安全数据特征提取模型进行训练,选用训练过程中特征提取效果比之前的特征提取效果好的网络安全数据特征提取模型保存下来。
flatten层将上述特征提取效果好的网络安全数据特征提取模型提取的训练集的特征转换为样本一维特征向量。
本发明的支持向量机分类器采用径向基函数做为目标函数中的核函数,以减少模型的复杂性,而径向基函数中的参数gamma决定支持向量机的训练速度和拟合程度。将上述得到的样本一维特征向量输入支持向量机分类器中,采用网格搜索优化算法对径向基核函数中的参数gamma和惩罚参数C进行全局寻优,得到训练好的网络安全态势评估模型。
其中,支持向量机分类器的具体算法为:
设T={(x1,y2),(x2,y2),(x3,y3),...,(xn,yn)},yi∈{-1,+1}表示日志信息的类别。分离超平面为w·x+b=0,则两个异类支持向量到超平面的距离之和为:
其中,w表示超平面的法向量。
并且该非线性超平面需要满足下面的约束条件:
yi[(w·xi)+b]≥1-εi
其中,ε表示样本相对于分离超平面的偏离程度,且εi≥0。由于支持向量机超平面的构造目标是要满足日志信息的错分程度尽可能的低并且分类的间隔要尽可能大。因此,目标函数可以变换为:
其中,C>0为惩罚参数。在选取合适的核函数K(xi,xj)和惩罚参数C后,代入拉格朗日函数,便得到了新的目标函数:
通过使用SMO算法求得最优解α*=(α1 *,α2 *,α3 *,...,αn *)。选择α*求得b*:
最后求得决策函数为:
采用测试集输入至上述得到的训练好的网络安全态势评估模型,得到测试集中各数据对应的网络状态,对上述训练好的网络安全态势评估模型的精确度进行验证。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种网络安全态势评估方法,其特征在于,包括:
获取日志信息;
对所述日志信息进行预处理,得到目标日志信息;
采用网络安全数据特征提取模型对所述目标日志信息进行特征提取;所述网络安全数据特征提取模型包括若干特征提取单元,用于对输入的所述目标日志信息进行特征提取;所述特征提取单元包括依次连接的选择性卷积结构单元、池化层和批标准化层;
采用flatten层将所述网络安全数据特征提取模型提取的特征转换为一维特征向量;
采用支持向量机分类器对所述一维特征向量进行分类,得到所述日志信息对应的网络安全状态。
2.根据权利要求1所述的网络安全态势评估方法,其特征在于,
所述选择性卷积结构单元,包括split单元、fuse单元和select单元,用于对输入的所述目标日志信息分不同路径进行特征提取,得到各分支特征,并对各分支特征进行聚合,得到卷积特征图。
3.根据权利要求2所述的网络安全态势评估方法,其特征在于,所述对输入的所述目标日志信息分不同路径进行特征提取,得到各分支特征,并对各分支特征进行聚合,得到卷积特征图,具体包括:
所述split单元对输入的所述目标日志信息基于若干卷积分解单元进行特征提取,得到各分支特征;
所述fuse单元:分别对各所述分支特征进行全局平均化,得到全局平均化特征图;采用若干全连接层对所述全局平均化后特征图进行先降维后升维的操作,得到各分支对应的权重矩阵;根据权重矩阵以及对应的所述分支特征得到各分支的加权特征图;
所述select单元将所有分支的所述加权特征图进行加法聚合,得到卷积特征图。
4.根据权利要求1所述的网络安全态势评估方法,其特征在于,所述对所述日志信息进行预处理包括:
删除所述日志信息中对网络安全没有影响的数据,得到日志筛选信息;
采用one-hot编码对所述日志筛选信息中各数据进行编码;
对编码后的数据进行归一化处理,得到所述目标日志信息。
5.根据权利要求1所述的网络安全态势评估方法,其特征在于,在采用网络安全数据特征提取模型对所述目标日志信息进行特征提取之前,还包括:
将所述目标日志信息转换为n×n二维灰度图。
6.一种网络安全态势评估模型训练方法,其特征在于,包括:
获取历史日志信息;
对所述历史日志信息进行预处理,得到样本日志信息;
对样本日志信息进行标记,得到所述样本日志信息的标签,所述标签表征所述样本日志信息对应的网络安全状态;
根据所述样本日志信息以及所述标签对网络安全态势评估模型进行训练,得到训练好的网络安全态势评估模型;
所述网络安全态势评估模型包括依次连接的网络安全数据特征提取模型、flatten层和支持向量机分类器;所述网络安全数据特征提取模型包括若干特征提取单元,用于对输入的所述样本日志信息进行特征提取;所述特征提取单元包括依次连接的选择性卷积结构单元、池化层和批标准化层;所述flatten层用于将所述网络安全数据特征提取模型提取的所述样本日志信息的样本特征转换为样本一维特征向量;所述支持向量机分类器对所述样本一维特征向量进行分类,得到所述历史日志信息对应的网络安全状态。
7.根据权利要求6所述的网络安全态势评估模型训练方法,其特征在于,
所述选择性卷积结构单元,包括split单元、fuse单元和select单元,用于对输入的所述样本日志信息分不同路径进行特征提取,得到各分支样本特征,并对各分支样本特征进行聚合,得到样本卷积特征图。
8.根据权利要求6所述的网络安全态势评估训练方法,其特征在于,所述对输入的所述样本日志信息分不同路径进行特征提取,得到各分支样本特征,并对各分支样本特征进行聚合,得到样本卷积特征图,具体包括:
所述split单元对输入的所述样本日志信息基于若干卷积分解单元进行特征提取,得到各分支样本特征;
所述fuse单元:分别对各所述分支样本特征进行全局平均化,得到全局平均化样本特征图;采用若干全连接层对所述全局平均化样本特征图进行先降维后升维的操作,得到各分支对应的权重矩阵;根据权重矩阵以及对应的所述分支样本特征得到各分支的样本加权特征图;
所述select单元将所有分支的所述样本加权特征图进行加法聚合,得到样本卷积特征图。
9.根据权利要求6所述的网络安全态势评估训练方法,其特征在于,所述对所述历史日志信息进行预处理包括:
删除所述历史日志信息中对网络安全没有影响的数据,得到样本日志筛选信息;
采用one-hot编码对所述样本日志筛选信息中各数据进行编码;
对编码后的数据进行归一化处理,得到所述样本日志信息。
10.根据权利要求6所述的网络安全态势评估训练方法,其特征在于,在所述根据所述样本日志信息以及所述标签对网络安全态势评估模型进行训练之前,还包括:
将所述样本日志信息转换为n×n二维灰度图。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210516729.9A CN114970694B (zh) | 2022-05-12 | 2022-05-12 | 一种网络安全态势评估方法及其模型训练方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210516729.9A CN114970694B (zh) | 2022-05-12 | 2022-05-12 | 一种网络安全态势评估方法及其模型训练方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114970694A true CN114970694A (zh) | 2022-08-30 |
CN114970694B CN114970694B (zh) | 2023-04-07 |
Family
ID=82981565
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210516729.9A Active CN114970694B (zh) | 2022-05-12 | 2022-05-12 | 一种网络安全态势评估方法及其模型训练方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114970694B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116318907A (zh) * | 2023-02-28 | 2023-06-23 | 宿州市耀舱电子商务有限公司 | 基于大数据和神经网络分析计算机网络态势的方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107046534A (zh) * | 2017-03-24 | 2017-08-15 | 厦门卓讯信息技术有限公司 | 一种网络安全态势模型训练方法、识别方法及识别装置 |
CN109120652A (zh) * | 2018-11-09 | 2019-01-01 | 重庆邮电大学 | 基于差分wgan网络安全态势预测 |
CN111652496A (zh) * | 2020-05-28 | 2020-09-11 | 中国能源建设集团广东省电力设计研究院有限公司 | 基于网络安全态势感知系统的运行风险评估方法及装置 |
CN112039903A (zh) * | 2020-09-03 | 2020-12-04 | 中国民航大学 | 基于深度自编码神经网络模型的网络安全态势评估方法 |
CN112151040A (zh) * | 2020-09-27 | 2020-12-29 | 湖北工业大学 | 一种基于端到端联合优化及决策的鲁棒性说话人识别方法 |
CN112801185A (zh) * | 2021-01-28 | 2021-05-14 | 河北师范大学 | 一种基于改进神经网络的网络安全态势理解和评估方法 |
CN113780443A (zh) * | 2021-09-16 | 2021-12-10 | 中国民航大学 | 一种面向威胁检测的网络安全态势评估方法 |
CN114266898A (zh) * | 2022-01-11 | 2022-04-01 | 辽宁石油化工大学 | 一种基于改进EfficientNet的肝癌识别方法 |
-
2022
- 2022-05-12 CN CN202210516729.9A patent/CN114970694B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107046534A (zh) * | 2017-03-24 | 2017-08-15 | 厦门卓讯信息技术有限公司 | 一种网络安全态势模型训练方法、识别方法及识别装置 |
CN109120652A (zh) * | 2018-11-09 | 2019-01-01 | 重庆邮电大学 | 基于差分wgan网络安全态势预测 |
CN111652496A (zh) * | 2020-05-28 | 2020-09-11 | 中国能源建设集团广东省电力设计研究院有限公司 | 基于网络安全态势感知系统的运行风险评估方法及装置 |
CN112039903A (zh) * | 2020-09-03 | 2020-12-04 | 中国民航大学 | 基于深度自编码神经网络模型的网络安全态势评估方法 |
CN112151040A (zh) * | 2020-09-27 | 2020-12-29 | 湖北工业大学 | 一种基于端到端联合优化及决策的鲁棒性说话人识别方法 |
CN112801185A (zh) * | 2021-01-28 | 2021-05-14 | 河北师范大学 | 一种基于改进神经网络的网络安全态势理解和评估方法 |
CN113780443A (zh) * | 2021-09-16 | 2021-12-10 | 中国民航大学 | 一种面向威胁检测的网络安全态势评估方法 |
CN114266898A (zh) * | 2022-01-11 | 2022-04-01 | 辽宁石油化工大学 | 一种基于改进EfficientNet的肝癌识别方法 |
Non-Patent Citations (1)
Title |
---|
任德志: "基于机器学习的安全态势感知特征提取技术研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116318907A (zh) * | 2023-02-28 | 2023-06-23 | 宿州市耀舱电子商务有限公司 | 基于大数据和神经网络分析计算机网络态势的方法及系统 |
CN116318907B (zh) * | 2023-02-28 | 2023-12-08 | 上海熙宥信息科技有限公司 | 基于大数据和神经网络分析计算机网络态势的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114970694B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109768985B (zh) | 一种基于流量可视化与机器学习算法的入侵检测方法 | |
CN112491796B (zh) | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 | |
CN113392932B (zh) | 一种深度入侵检测的对抗攻击系统 | |
CN109299741B (zh) | 一种基于多层检测的网络攻击类型识别方法 | |
CN109218223B (zh) | 一种基于主动学习的鲁棒性网络流量分类方法及系统 | |
CN109309675A (zh) | 一种基于卷积神经网络的网络入侵检测方法 | |
CN107360152A (zh) | 一种基于语义分析的Web威胁感知系统 | |
CN111552966A (zh) | 一种基于信息融合的恶意软件同源性检测方法 | |
CN112333706A (zh) | 物联网设备异常检测方法、装置、计算设备及存储介质 | |
CN116910752B (zh) | 一种基于大数据的恶意代码检测方法 | |
CN111970259B (zh) | 一种基于深度学习的网络入侵检测方法和报警系统 | |
CN114970694B (zh) | 一种网络安全态势评估方法及其模型训练方法 | |
CN113939831A (zh) | 理解深度学习模型 | |
CN113705604A (zh) | 僵尸网络流量分类检测方法、装置、电子设备及存储介质 | |
CN109981672B (zh) | 一种基于半监督聚类的多层入侵检测方法 | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
CN114513367A (zh) | 基于图神经网络的蜂窝网络异常检测方法 | |
CN110659997A (zh) | 数据聚类识别方法、装置、计算机系统及可读存储介质 | |
CN116628554B (zh) | 一种工业互联网数据异常的检测方法、系统和设备 | |
CN116707859A (zh) | 特征规则提取方法和装置、网络入侵检测方法和装置 | |
CN116545679A (zh) | 一种工业情境安全基础框架及网络攻击行为特征分析方法 | |
CN110995713A (zh) | 一种基于卷积神经网络的僵尸网络检测系统及方法 | |
CN111475380B (zh) | 一种日志分析方法和装置 | |
CN115842645A (zh) | 基于umap-rf的网络攻击流量检测方法、装置及可读存储介质 | |
CN113407410A (zh) | 一种区块链网络异常检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |